„JanelaRAT“ skirta „Windows“ vartotojams Lotynų Amerikoje

Sklando finansinė kenkėjiška programa, žinoma kaip JanelaRAT, skirta vartotojams visoje Lotynų Amerikoje. Ši kenkėjiška programinė įranga gali išgauti slaptus duomenis iš Microsoft Windows sistemų, kurios tapo jos taktikos aukomis.

Zscaler ThreatLabz mokslininkai, būtent Gaetano Pellegrino ir Sudeep Singh, atskleidė JanelaRAT veikimo būdą. Jie atskleidžia, kad kenkėjiškos programos pagrindinis dėmesys skiriamas finansinės ir su kriptovaliutomis susijusios informacijos įsigijimui iš Lotynų Amerikos bankų ir finansų įstaigų. Kad pasiektų savo niekšiškus tikslus, kenkėjiška programa sumaniai išnaudoja DLL šoninio įkėlimo metodus, paimdama kodą iš teisėtų šaltinių, tokių kaip VMWare ir Microsoft. Šis metodas leidžia „JanelaRAT“ nepastebėti įprastų galinių taškų saugos priemonių.

„JanelaRAT“ veikimo režimas

Nors tikslus kenkėjiškų programų įsibrovimo taškas tebėra neaiškus, kibernetinio saugumo įmonė, kuri 2023 m. birželį atskleidė šią kampaniją, pasidalijo, kad ZIP archyvo failui pristatyti naudojamas nežinomas vektorius. Šiame archyve yra „Visual Basic“ scenarijus, sukurtas atlikti dvi pagrindines užduotis. Pirma, jis paima kitą ZIP archyvą iš įsilaužėlių serverio. Antra, jis įkelia paketinį failą, kuris užtikrina, kad kenkėjiška programa nuolat būtų pažeistoje sistemoje.

Papildomame ZIP archyve yra dvipusė naudingoji apkrova. Vienas komponentas yra pati „JanelaRAT“ kenkėjiška programa, o kitas yra teisėtas vykdomasis failas, pavadintas Identity_helper.exe arba vmnat.exe. Pastarasis naudojamas paleisti pirmąjį naudojant strateginę DLL šoninio įkėlimo techniką.

„JanelaRAT“ neapsieina be gudrybių. Jis naudoja eilučių šifravimą ir turi galimybę prireikus persijungti į tuščiosios eigos režimą, veiksmingai išvengiant aptikimo ir analizės. Ši kenkėjiškų programų atmaina iš tikrųjų yra pritaikyta anksčiau nustatyto BX RAT versija, kuri pirmą kartą pasirodė 2014 m.

Įsidėmėtinas šio Trojos arklydo atnaujinimas yra jo naujai atrastas gebėjimas konfiskuoti langų pavadinimus ir perduoti juos kenkėjiškiems veikėjams, nors ir užmezgus ryšį su komandų ir valdymo (C2) serveriu. Be to, JanelaRAT gali pasigirti daugybe kitų galimybių: sekti pelės įvestis, registruoti klavišų paspaudimus, užfiksuoti ekrano kopijas ir rinkti sistemos metaduomenis.

Nors „JanelaRAT“ turi tam tikrą funkcijų poaibį, palyginti su jo pirmtaku „BX RAT“, jo kūrėjai nusprendė neįtraukti funkcijų, skirtų apvalkalo komandoms vykdyti arba failams ir procesams valdyti.

Atidžiau patikrinus kenkėjiškos programos šaltinio kodą, buvo aptikta intriguojančių portugalų kalbos pėdsakų. Šis kalbinis užuominas rodo, kad JanelaRAT autorius yra gerai susipažinęs su šia kalba.

Lotynų Amerikos ryšys išryškėja nurodant bankininkystės ir decentralizuotų finansų sektorių subjektus. Be to, geografinė VBScript įkėlimų į „VirusTotal“ kilmė nukreipta į Čilę, Kolumbiją ir Meksiką.